[原创]+[转帖]恐怖!瑞星&卡巴都測不到!

<p>話說我使用瑞星後期就發覺瑞星與98撞!(唔知點解撞!)</p><p>之後我在另一個系統(98簡體)裝卡巴，scan後...安全</p><p>亦試過上線除毒(最新版)，都安全</p><p>...咁我就有佢，因為部舊機以前就用得比較多，後期因為一些原因愈用愈少(唔關好唔好或慢唔慢問題。)</p><p>　　近日因為98簡體系統瓜咗！點都要迫住睇睇佢，但我完全無信心會搞得掂(重裝例外，但我唔想咁做。)</p><p>　　我知個瑞星本身含有一個毒(所有新舊版及更新大多數都有，少部份更新檔就沒有這個毒)，初期有佢照用，昨晚改用另一個免費防毒軟件。</p><p>- - - - -</p><p><font color="#0000ff">有<font size="4"><strong>類似</strong></font>情況出現↓</font></p><p>- - - - -</p><p>.......</p><p>&nbsp;&nbsp;&nbsp; 下麵就netbus木馬為例講講刪除的經過。</p><p>&nbsp;&nbsp;&nbsp; 簡單介紹一下netbus木馬，netbus木馬的用戶端有兩種，開放的都是12345埠，一種以Mring.exe為代表（472,576位元組），一種以SysEdit.exe為代表（494,592位元組）。Mring.exe一旦被運行以後，Mring.exe就告訴WINDOWS，每次啟動就將它運行，WINDOWS將它放在了註冊表中，你可以打開C:\WINDOWS\REGEDIT.EXE進入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然後刪除這個健值，你再到WINDOWS中找到Mring.exe刪除。注意了，Mring.exe可能會被駭客改變名字，位元組長度也被改變了，但是在註冊表中的位置不會改變，你可以到註冊表的這個位置去找。另外，你可以找包含有“netbus”字元的可執行檔，再看位元組的長度，我查過了，WINDOWS和其他的一些應用軟體沒有包含“netbus”字元的，被你找到的檔多半就是Mring.exe的變種。SysEdit.exe被運行以後，並不加到WINDOWS的註冊表中，也不會自動掛到其他程式中，於是有人認為這是傻瓜木馬，筆者倒認為這是最最可惡、最最陰險的木馬。別的木馬被加到了註冊表中，你就有痕跡可查了，就連專家們認為最最兇惡的BO木馬也可以輕而易舉地被我們從註冊表中刪除。而SysEdit.exe要是掛在其他的軟體中，只要你不碰這個軟體，SysEdit.exe也就不發作，一旦運行了被安裝SysEdit.exe的程式，SysEdit.exe也同時啟動了。筆者在自己的電腦中做了這樣一個實驗，將SysEdit.exe和C:\WINDOWS\SYSTEM\<font color="#f70938">Abcwin.exe</font>捆綁起來，Abcwin.exe是智慧ABC輸入法，當我開啟電腦到上網，只要沒有打開智慧ABC輸入法打字聊天，SysEdit.exe也就沒有被運行，你就不能進入我的12345埠，如果我什麼時候想打字了，<font color="#ff0033">一旦啟動智慧ABC輸入法（Abcwin.exe），</font>那麼捆綁在Abcwin.exe上的SysEdit.exe也同時被運行了，我的12345埠被打開，別人就可以黑到我的電腦中來了。同樣道理，SysEdit.exe可以被捆綁到網路傳呼機、信箱工具等網路工具上，甚至可以捆綁到撥號工具上，電腦中的幾百的程式中，你知道會在什麼地方發現它嗎？所以我說這是最最陰險的木馬，讓人防不勝防。</p><p>&nbsp;&nbsp;&nbsp;&nbsp; 有的時候知道自己中了netbus木馬，特別是SysEdit.exe，能發現12345埠被開放，並且可以用netbus用戶端軟體進入自己的電腦，卻不知道木馬在什麼地方。這時候，你可以檢視記憶體，請打開C:\WINDOWS\DRWATSON.EXE，然後對記憶體拍照，查看“高級視圖”中的“任務”標籤，“程式”欄中列出的就是正在運行的程式，要是發現可疑的程式，再看“路徑”欄，找到這個程式，分析它，你就知道是不是木馬了。SysEdit.exe雖然可以隱藏在其他的程式後面，但是在C:\WINDOWS\DRWATSON.EXE中還是暴露了。</p><p>&nbsp;&nbsp;&nbsp; 好了，來回顧一下，要知道自己的電腦中有沒有木馬，只要看看有沒有可疑埠被開放，用代理獵手、Tcpview.exe都可以知道。要查找木馬，一是可以到註冊表的指定位置去找，二是可以查找包含相應的可執行程式，比如，被開放的埠是7306，就找包含“netspy”的可執行程式，三是檢視記憶體，看有沒有可以的程式在記憶體中。<br/>你的電腦上的木馬，來源有兩種，一種是你自己不小心，運行了包含有木馬的程式，另一種情況是，“網友”送給你“好玩”的程式。所以，你以後要小心了，要弄清楚了是什麼程式再運行，安裝容易排除難呀。排除了木馬以後，你就可以監視埠--</p><p>.......</p><p>- - - - - -</p><p><font color="#3300ff">上下部文章省略</font></p><p><font color="#3300ff">我查倒那些木馬在那個程式了！(它放在uninstall)</font>真係好毒啊！</p>

有无甘厉害啊，怕怕

<p>唔明。。。好似好麻烦。。。究竟呢个木马有什么危害呀</p><p>有无试过江民2007杀唔杀倒？</p>

<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>ninaomu</i>在2007-1-6 2:54:18的发言：</b><br/><p>唔明。。。好似好麻烦。。。究竟呢个木马有什么危害呀</p><p>有无试过江民2007杀唔杀倒？</p></div><p>係好幾個既問題黎 </p><p>殺咗喇</p>

好难明啊！！ＬＳ能唔能讲得简单一些啊

<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>魔王撒旦</i>在2007-1-9 13:04:21的发言：</b><br/>好难明啊！！ＬＳ能唔能讲得简单一些啊</div><p><font size="3"><strong>你想點簡法?</strong></font>
        </p><p>咪1部機(2個不同系統) </p><p>分別scan都安全，在線scan亦安全。 </p><p>但再用第3方防毒程式，就scan倒有木馬囉！</p>

<p>你咁犀利嘅？？？</p><p>乜嘢病毒都吡你感染到······</p><p>摆喺<font color="#3300ff">uninstall</font>咁狠毒？？？</p>

<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>Laputa81</i>在2007-1-9 19:35:02的发言：</b><br/><p>你咁犀利嘅？？？</p><p>乜嘢病毒都吡你感染到······</p><p>摆喺<font color="#3300ff">uninstall</font>咁狠毒？？？</p></div><p>多事</p>

<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>abc-like</i>在2007-1-11 23:44:19的发言：</b><br/><p>多事</p></div><p>9成喺你成日喺度惹是生非啦········</p>

<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>abc-like</i>在2007-1-6 9:15:55的发言：</b><br/><p>係好幾個既問題黎 </p><p>殺咗喇</p></div><p></p>哦，咁就ok了，江民2007几好用噶^_^

<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>ninaomu</i>在2007-1-12 20:21:44的发言：</b><br/><p></p>哦，咁就ok了，江民2007几好用噶^_^</div><p>我都無用過 江民2007</p>

<p>咁强~~~</p><p>最后揾乜soft杀？</p>